最后(失败)登录或为什么提升btmp的权限

Question

为什么我需要有更高的权限才能访问上一个失败的登录(/var/log/btmp)，而不需要访问最后一个成功登录(/var/log/wtmp)。(至少在debian/ubuntu上是默认的-我的系统: debian 9)

有什么安全考虑吗？

基本上，我希望在每次登录时运行lastb，从而为所有用户设置chmod o+r /var/log/btmp读取权限。有矛盾吗？

Answer 1

读取对该日志的访问是(本地)攻击者以明文方式访问帐户密码的一种方式，因为(根据OpenSSH人员)登录最常见的失败模式是用户在提示输入帐户名时意外输入密码。

再读

• Ashok (2005-01-20)。为所有受支持的身份验证方法记录Badlogins。OpenSSH bug #974。
• 达伦·塔克(2005-02-02)。Teachsshdto编写失败的登录记录tobtmp。OpenSSH。GitHub。
• dean gaudet (2005-06-19)。对/var/log/btmp文件的权限过多或所有权错误。Debian #314956。
• 肯·鲍利(2005-12-03)。openssh-server:不会记录错误的登录尝试/var/ log /btmp。Debian #341883。
• 标记约章(2017-08-03)。systemd:/var/log/btmphas具有不一致的权限。Debian #870638。
• Franck Bui (2017-10-04)。为什么tmpfiles需要/var/log/btmp的"utmp“组？。系统缺陷#6994。GitHub。